セキュリティ意識が低い子会社に、押し付けずに“気づいてもらう”ためのアプローチとは?

「ルールを押し付けても動かない」…その悩み、よくわかります。

親会社のセキュリティ担当として、
グループ全体のリスクを最小限にするために、
子会社にも同じ水準のセキュリティ対策を求めたい。

でも、こんな声が聞こえてきませんか?

  • 「うちはうち、そっちはそっちでしょ」
  • 「また親会社のルール押し付け?現場は忙しいんだよ」
  • 「別にこれまで問題なかったし…」

社員数が多い子会社ほど、独自の考え方や企業文化が根付いていて、一筋縄ではいかないこともありますよね。

でも、各社の意向を尊重しすぎて、何か事故が発生してしまった時に親会社としての管理責任を問われたり、グループ会社として統制が取れていないことに対する企業イメージのダウンといったものが発生してしまうことは避けたいのではないでしょうか。

本記事では、グループ会社が標的型攻撃メール訓練を実施する際に直面する問題点について考えてみたいと思います。

💡解決のカギは「自分ごと化」と「納得感」

親会社から子会社に対して「セキュリティ訓練をやりましょう」と言っても、関係構築ができていない間柄である場合は、いきなり言っても、“はい、わかりました”とはならないものです。

それどころか、親会社の立場だからといって勝手なこと言うなよ。と反発されることの方が多いのではないでしょうか。

子会社からすれば、”こっちの事情も知らずに勝手なこと言うなよ”と言いたくなることもあるかと思います。

親会社からスピンアウトした子会社ならともかく、買収されるなどして子会社になったような企業であれば、見ず知らずの相手から指示が飛んでくるわけですから、素直に受け入れられないのは当然です。

そこで大切になるのが、「自分たちの問題だ」と気づいてもらうことです。

👣 ステップ1:まずは「危機感の共有」から

弊社の決まりでそうなっているからといった、ルールの押しつけをするのではなく、共感できる危機事例から入るのがコツ。

たとえば、

  • 「ある製造業では、たった1通のメールで〇億円の損失」
  • 「標的型攻撃で取引先の信用を失い、受注が20%減少」

など、業界や事業構造が近い事例を紹介し、共感を感じてもらうところから話を始めて、まずはこちらの話を聞いてもらえる雰囲気を作ることから始めてみましょう。

「これはウチにも起こり得る」と思ってもらえれば、最初の壁を超えられます。

🎯 ステップ2:「やらされ感」を減らす“選べる支援メニュー”

子会社が「自分たちで選んだ感覚」を持てるようにします。

おすすめは、複数の支援プランを提示する方法

たとえば:

プラン内容特徴
Aプラン月1回訓練+動画研修スピーディにレベルアップしたい方向け
Bプラン年2回の訓練+簡易診断現場の負担を最小限に抑えたい方向け
Cプラン個別相談でカスタマイズ自社に合わせた柔軟な運用をしたい方向け

「この中から選んでください」と伝えるだけで、受け入れられやすくなります。

しかし、親会社と比べて予算も人的資源も乏しくなりがちな子会社では、”親会社の言うことはわかるけど無い袖は振れない”ということもあります。

支援プランを複数提示しても、それがどれも子会社にとっては無理な選択肢である場合は結局押しつけになってしまいます。親会社はこうした事情も汲み、子会社が受け入れやすい支援プランを選択肢として用意することがポイントです。

🪄 ステップ3:「成果」を見せてモチベーションを上げる

訓練や研修を1回実施したら、
結果を数字で見える化して共有するのが効果的です。

例:

  • 「今回の訓練では、通報率が50%を超えました」
  • 「前回よりクリック率が30%減りました!」

さらに、

  • 「社員から『家族にも注意を促しました』という声もありました」

といったポジティブな反応を共有すると、”これは効果があるものなんだ”と実感してもらえて、前向きな雰囲気が生まれます。

👥 ステップ4:カギは“リーダー層の巻き込み”

子会社のリーダー層が、

  • 「これは業務リスクに直結する」
  • 「うちの従業員を守るために必要なこと」

と自覚しない限り、社員の意識も上がりません。

親会社としては、

  • 管理職向けのセキュリティブリーフィング
  • 経営会議での10分間の危機共有セッション

などを企画し、「管理職も当事者」という立場を強調しましょう。会社全体で取り組むべきことなんだという雰囲気作りは、ボトムアップよりもトップダウンで進める方が何倍も早く浸透します。

📌 まとめ:押し付けない、でも放置しない。

セキュリティは、ルールを押し付けても根付きません。
でも放っておくと、いつか大きな事故に繋がる可能性があります。

親会社のセキュリティ担当者としてできることは、

  • 気づきのきっかけを作ること
  • 自社に合わせて選ばせる仕組みを用意すること
  • 成果と変化を伝え続けること

対話と共創を意識したアプローチで、
子会社の“セキュリティ文化”を少しずつ育てていきましょう。

ちなみに弊社が販売する「標的型攻撃メール対応訓練実施キット」では、グループ会社であれば、子会社が何社あっても年間固定金額で訓練の実施が可能なライセンスをご提供しています。子会社が多いために訓練実施費用が何百万円、何千万円にも膨れ上がってしまうとお困りの企業様は、キットの活用を一度ご検討になってみてください。

【こちらもどうぞ】「訓練をやれ」と言われても…〜親会社からの標的型攻撃メール訓練の指示、どう対応すべき?〜

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示